VPN在大型企业网络中的应用研究整套毕业论文.docx

1、VPN在大型企业网络中的应用研究整套毕业论文VPN在大型企业网络中的应用研究(整套毕业论文)材 料 清 单一、毕业论文二、毕业设计任务书三、毕业设计开题申请表四、毕业设计开题报告正文五、专业译文声 明本人，学号，系大学系专业班学生。所做论文内容主体均为原创，无任何抄袭、剽窃他人劳动成果的行为。如有发现此类行为，本人愿意为此承担一切道义及法律责任，特此声明。学生签名： 年 月 日Research of Application of VPNin Large Enterprise NetworkAbstract: With the rapid development of the Informati

2、on Technology, demand on network from large enterprises becomes larger and larger. All of this promotes the rapid development and application of VPN technology. VPN has the advantage of security which leased line possesses and the advantage of inexpensiveness which Internet possesses. This paper ana

3、lyzes the present situation and development trend of VPN technology, introduces the production, characteristics, advantages of the VPN. Then the paper analyzes the requirement of the VPN network construction of large enterprises. Afterward, two schemes are given according to practical background. On

4、e uses IPSec VPN, and the other uses MPLS VPN. The design and realization processes of the two schemes are given in detail. At last, this paper compares the IPSec VPN and the MPLS VPN, and points out the scenarios where each scheme is applicable.Key words: VPN; Enterprise network; IPSec VPN; MPLS VP

5、N1 绪论1.1 研究背景进入二十一世纪后，传统语音业务的年增长率较低，只有5-10%，与之相比较，数据业务(如Internet等)的年增长率很高，为20-30%. Internet业务量持续的指数增长是数据通信业务量如此高速、持续增长的最直接动力。这对整个网络的技术模式、整体架构乃至当今知识经济的内涵来说，都有着深远的影响。随着网络经济的不断发展，各个企业对建设自己的网络，提出的要求也不断变高，要求网络具备更好灵活性、经济性、扩展性等是其主要表现。VPN具有独有的优势，在通信技术大发展的背景下，对它密切关注的企业数量也不断增多了。虚拟私有网络(Virtual Private Network，

6、VPN)简单来说，就是利用公共网络来完成私有专用网络的构建。组建VPN，使得在公共网络也能提供安全性和可管理性等，就像是企业自己的私有网络一样。随着企业网及政府网应用的日益广泛，网络范围也在不断扩大，跨地区跨城市，甚至是跨国家的网络日益增多，这导致了对网络要求也越来越高。采用传统广域网建立跨区域的企业或政府专网，往往需要租用昂贵的数字专线。而在此同时，Internet日益普及，已经遍布世界各地，并且都是联通的，但由于Internet是开放的网络，如果企业或政府的信息要通过Internet进行传输，肯定存在着许多安全问题。因此如何利用现有的Internet网络来安全地建立企业或政府的专有网络，就

7、成了现在网络应用上的最急需解决的问题。如今，企业信息化是所有企业发展的必经之路，特别是大型企业。企业信息化，可以大大提高企业的工作效率，减少企业的运营成本。大型企业的特点是规模很大，有多个分部或者分公司，它们之间需要信息的交流，这些信息一般都是一些敏感的信息，有的涉及到企业的商业秘密，若不小心被泄露，被截获，后果不堪设想。如何将企业的总部和分部连接起来，并且保证它们之间交换的数据的保密性、完整性，以及使连接成本不像专线那么高？为了解决这个问题，VPN（Virtual Private Network，虚拟专用网）就应运而生了。因特网有廉价的优点，但是不安全；专线安全，但比较昂贵。VPN结合了因特

8、网和专用网的优点，同时也弥补了两者的缺点。1.2 技术发展现状近十年，VPN已从电话公司仅仅提供语音业务发展到了提供数据/语音混合，甚至多媒体业务。相应的技术也从基于DDN,帧中继(Frame Relay), ATM发展到了IP VPN，直至现在的MPLS VPN。SSL VPN市场近些年来一直保持着快速增长的势头，在今年4月IT调研公司Frost & Sullivan发布的2010年中国SSL VPN市场分析报告中可以看到，中国SSL VPN市场在过去的一年里保持了10.3%的健康增长。这其中，对于安全接入的需求增长起到了非常重要的促进作用。SSL VPN市场现状：政府和大中型企业等需求显著

9、近几年来，各级政府对于信息化建设的投入一直在大幅度增加，这其中，无论是社保医疗网络的建设，还是财务税收信息化的建设，每个垂直分支都在大踏步地迈进信息化时代，在此背景之下，各级政府对其网络的稳定具有非常高的要求，SSL VPN在这些方面具有较强的先天优势，从而获得了政府行业更多的政策性支持；另外一方面，对于保密性质较高的政府网络来说，防黑防盗是一个长期的课题，SSL VPN产品突出的安全性能也更容易受到用户的青睐。大型企业和中型企业方面，其往往具有信息化程度高、跨地域业务多和外包合作多的特点。这与政府行业更多是单纯跨地域的网络连通具有一定的差异。为了保证在不同网络、不同地域机构之间的业务连续性，

10、相当数量的用户都选择了比较安全稳定的SSL VPN产品。从未来市场增长的角度来看，移动终端和私有云的大规模发展也会对SSL VPN市场的增长起到一个巨大的促进作用。国外研究IPsec VPN较早，从1995年开始，IETF着手研究制定了一套用于保护IP通信的IPsec安全协议族，1998年制订了IP安全框架. IPsec提供既可用于IPv4也可用于IPv6的安全性机制，它是工Pv6的一个组成部分，也是IPv4的一个可选扩展协议。通过实现和扩展工Psec协议族，国外厂商纷纷推出了面向不同市场的IPsecVPN产品。除拥有IPsec VPN基本的加密、认证等功能外，还和防火墙、IDS等设备融合，形

11、成了具有VPN功能的网络安全设备。为满足不同的用户需求，各厂商还推出了拥有独特功能的IPsec VPN，例如Cisco支持其专有Hub-and-Spoke技术的VPN。IPsec VPN技术的长足发展，还促使产生了许多开放源代码的IPsec VPN软件。国内IPsec VPN已有数年的研究发展历史。初期主要是通过研究、分析国外开源VPN软件，模仿国外大公司软件功能的做法推出产品.随着技术积累沉淀，国内网络安全公司也开始研发具有自主知识产权、独特功能的IPsec VPN产品.特别是在加密算法、认证方式、NAT穿越等适应国内网络发展现状的技术领域中获得了长足进步。MPLS VPN业务近几年引起了全

12、球运营业的普遍关注。国外大的运营商如AT&T, sprint, Verizon, Bellsouth, NTT都己经开始应用MPLS网络。我国运营商中最早推出MPLS VPN业务的是中国网通，推出时间为2002年6月。随着市场前景的日益看好，中国电信、中国铁通也开始提供这项服务。此外，一些跨国运营商也开始关注中国市场，围绕MPLS VPN业务的竞争正在中国市场上逐渐升温。作为网络之国的美国，美国政府非常重视MPLS VPN技术的发展。2004年初，美国全国性运营商sprint推出针对企业用户的MPLS VPN业务。至此，sprint己经拥有了数据网互联方面所有的服务产品，包括旧有的传统专用线、

13、帧中继、ATM,IP接入等等。在接下来的两年里，sprint希望在自己的专有IP网和全球IP平台上都采用MPLS VPN技术，并且集成以前的Internet接入和远程接入服务。MPLS VPN在我国己经进入市场成长期，越来越多的运营商会提供相应的产品，有两个方面的经验可以借鉴：一是国外同行的运营经验，二是国内同行和自己的经验教训。总的来说，首先，运营商一定要结合其他的VPN技术，如租用线、IP VPN、帧中继、ATM来提供满足不同用户不同需求的整体解决方案；二是要确保运营质量，如可靠性、QoS等;三是要努力降低网络操作维护的复杂度，提高网络的利用率，优化网络资源的使用;四是要加强和内容提供商的

14、合作，特别注意及时引入新业务吸引用户。运营商相继推出MPLS VPN服务，可能产生的最主要问题是特殊安全需求和互联互通问题。在我国，因为在公共信息基础平台上发展专有网络已是大势所趋，唯一让用户担心的是安全性。实际上，MPLS VPN针对一般用户，己经可以提供虚电路级的安全性。但是在特殊要求的场合，比如公安、国防领域、电子交易、传送敏感信息、商业文件时，用户需要更加安全的保障措施。所以在吸引此类传统的专网用户时，运营商应该着力应对，提出更值得信赖的解决方案，比如IPSec加MPLS VPN。MPLS VPN应是未来VPN实现技术的趋势与主流。1.3 本文主要研究的内容本文主要研究怎么对大型企业网

15、络中使用的VPN的应用方案进行规划、设计与实现。本文也分析研究了VPN技术原理，深入地探讨了MPLS VPN技术的原理和它的优点。1.4 本文的结构安排本论文分为四个部分。第一部分绪论部分，对VPN技术的研究背景及现状做了个简单的介绍。第二部分介绍了VPN的技术概要，和VPN的分类。第三部分讲述了大型企业的VPN需求分析。第四部分详细IPSec VPN和MPLS VPN这两种解决方案，包括组网背景、网络拓扑、IP地址规划和关键配置代码。第五部分是IPSec VPN实现方案与MPLS VPN实现方案的比较。第六部分是对本论文的总结。2 VPN的分类和技术概要本章主要介绍了VPN的分类和基本概念和

16、原理。2.1 VPN概述2.1.1 VPN的产生随着社会的发展，IT技术越来越多地影响现代企业的业务流程，如企业资源规划、基于IP网络的语音、基于IP网络的会议和教学活动等IT技术，为企业的自动化办公和信息的获取提供了构架。随着网络经济的发展，越来越多的企业的分布范围日益扩大，合作伙伴日益增多，公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构，组成自己的企业网，同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。最初，电信运营商是以租赁专线(Leased Line)的方式为企业提供二层链路，这种方式的主要缺点是：1.建设时间长2.价格昂贵3.难于管

17、理此后，随着ATM(Asynchronous Transfer Mode)和帧中继(Frame Relay)技术的兴起，电信运营商转而使用虚电路方式为客户提供点到点的二层连接，客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比，运营商网络建设时间短、价格低，能在不同专网之间共享运营商的网络结构。这种传统专网的不足在于：1.依赖于专用的介质(如ATM或FR)：为提供基于ATM的VPN服务，运营商需要建立覆盖全部服务范围的ATM网络：为提供基于FR的VPN服务，又需要建立覆盖全部服务范围的FR网络。网络建设成本高。2.速率较慢：不能满足当前Internet应用对于速率的要求

18、。3.部署复杂：向已有的私有网络加入新的站点时，需要同时修改所有接入此站点的边缘节点的配置。传统专网的应用，促使了企业效益的日益增长，但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生在现有IP网络上模拟传统专网：这种新的解决方案就是虚拟专用网VPN(Virtual Private Network)。VPN是依靠Internet服务提供商ISP (Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。2.1.2 VPN的特征VPN具有

19、以下两个基本特征：1.专用(Private)：对于VPN用户，使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立，即VPN资源不被网络中非该VPN的用户所使用；且VPN能够提供足够的安全保证，确保VPN内部信息不受外部侵扰。2.虚拟(Virtual)：VPN用户内部的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网(VPN Backbone)。利用VPN的专用和虚拟的特征，可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富：可以用在解决企业内部的互连、相同或不

20、同办事部门的互连：也可以用来提供新的业务，如为IP电话业务专门开辟一个VPN，以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。在解决企业互连和提供各种新业务方面，VPN，尤其是MPLS VPN，越来越被运营商看好，成为运营商在IP网络提供增值业务的重要手段。2.1.3 VPN的优势从客户角度看，VPN和传统的数据专网相比具有如下优势：1.安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。2.廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴

21、。3.支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。4.服务质量保证：构建具有服务质量保证的VPN(如MPLS VPN)，可为VPN用户提供不同等级的服务质量保证。从运营商角度看，VPN具有如下优势：5.可运营：提高网络资源利用率，有助于增加ISP的收益。6.灵活：通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。在应用上具有很大灵活性。7.多业务：SP在提供VPN互连的基础上，可以承揽网络外包、业务外包、客户化专业服务的多业务经营。VPN以其独具特色的优势赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，从而更多地致力

22、于企业的商业目标的实现。另外，运营商可以只管理、运行一个网络，并在一个网络上同时提供多种服务，如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv)，从而减少运营商的建设、维护和运行费用。VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落，只要能够接入到Internet，即可使用VPN。2.2 VPN的分类VPN可按业务类型和实现技术两个角度进行分类。2.2.1 按VPN的业务类型划分根据服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN(Intranet VPN)和外联网VPN（Extran

23、et VPN）。通常情况下内联网VPN是专线VPN。（1）接入VPN：这是企业出差员工通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机，而不是网络，因此组成的VPN是一种主机到网络的拓扑模型。（2）内联网VPN：这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种网络到网络以对等的方式连接起来所组成的VPN。（3）外联网VPN：这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。2.2.2 按VPN的实现技术划分目前，主流的VPN技术有IPSec VPN、

24、SSL VPN、MPLS VPN。IPSec VPN是一个应用广泛、开放的VPN安全协议技术，它提供了如何让保密性强的数据在开放的网络中传输的安全机制。它工作在网络层，为数据传输过程提供安全保护，主要手段是对数据进行加密和对数据收发方进行身份认证。IPSec VPN技术可以设置成在两种模式下运行，一种是隧道模式，把IPv4数据包封装在安全的IP帧中进行传输，但这种方式系统开销比较大；另一种模式是传输模式，隐藏路由信息，提供端到端的安全保护。SSL VPN也是一种在Internet上确保信息安全收发的通用协议技术，位于TCP/IP协议与各种应用层协议之间，以可靠的传输协议(如TCP)为根基，为高

25、层协议提供数据封装、压缩、加密等基本功能的支持，为网络的连接提供服务器认证、可选的客户认证、SSL链路上的数据完整性保证、保密性保证。目前，SSL VPN也广泛被应用于各种浏览器中，使用者利用浏览器内的SSL封装包处理功能，用浏览器连接单位内网的SSL VPN服务器，通过网络封包转向的方式，从而让远程计算机执行任务，读取单位内网上的信息。多协议标签交换MPLS VPN是一种面向连接的技术，通过MPLS信令建立好MPLS标记交换通道LSP，数据转发时在网络的入口处对信息进行分类，网络设备中根据分类选择相应的交换通道LSP，并打上相应的标签，再转发时直接根据报头的标签转发，不再通过IP地址查找，在

26、LSP出口处，卸掉标签，还原为原来的IP数据包。它是一种快速数据包交换和路由的体系，通过标签交换路径将私有的网络的不同分支联系起来，从而形成一套虚拟的统一的网络。基于这种交换和路由的特点，它的路由工作在网络的第三层，而核心任务工作在第二层。3大型企业网络的VPN需求分析随着经济全球化步伐的加快，跨国、跨地区的企业收购和合并日益增多。每家公司的分支机构的分布也越来越广，公司各分支机构之间为了共享商业数据，需要将各分支机构之间联网，在保证数据存储和传输安全的前提下共享数据，同时解决方案尽可能的要减少投入和降低使用成本。分析这些需要联网的企业用户的需求特点，可以归纳为以下几点：1）分支机构彼此分布不

27、同地点2）需要共享大量的商业数据，对接入带宽有一定的要求3）必须保证数据在传输过程中的安全性。过去的企业网络，多以封闭式的专线连接为主， 其主要原因就是考虑数据传输的安全性。若在安全性不能被保障的状况下，一旦企业重要资料被他人所窃取，将对企业造成难以弥补的损失4）解决方案低成本VPN技术就是在这个背景下应运而生的，VPN的出现满足了企业用户的需求。VPN的基本思路就是充分利用现有的公共IP网，通过隧道技术，将公网虚拟成专用网，同时免除了昂贵的专线租用费用。4 大型企业VPN方案设计与实现4.1 IPSec VPN方案的设计与实现4.1.1 组网背景有一公司的总部在北京，在上海有一分部，北京总部

28、内部采用私有IP地址，但要接入Internet，且对外的Web服务器Server0，要让一般用户可以从Internet访问。北京总部与上海分部之间，要求建立站点间的VPN。即通过私有IP地址可以互相访问。北京总部有多个公用IP（200.0.0.0-200.0.0.15，Server0对外的IP地址为200.0.0.8，即从公网的一台电脑上ping 200.0.0.8可以ping通server0）。实现北京总部各部门间的网络的广播流量相互隔离，网络互通。在路由器上配置路由协议，使用网络可以互通。上海分部内部也使用私有IP地址，通过NAT访问Internet。北京总部与上海分部之间，要求建立站点间

29、的VPN。即通过私有IP地址可以互相访问。4.1.2 网络拓扑图4.1 IPSec VPN网络拓扑图4.1.3 IP地址规划在北京总部的交换机上划分5个VLAN表4.1 北京总部VLAN划分项目VLANIP范围与F0/1相连的交换机10192.168.1.0/24与F0/2相连的交换机20192.168.2.0/24与F0/3相连的交换机30192.168.3.0/24与F0/4相连的交换机40192.168.4.0/24Server077192.168.77.1上海分部Server2 IP：172.16.1.1某一外网PC IP：202.202.202.14.1.4 关键配置代码1）北京总部

30、内部采用私有IP地址，但要接入Internet，且对外的Web服务器Server0，要让一般用户可以从Internet访问。设分配给总部有多个公用IP（假设为200.0.0.0-200.0.0.15，Server0对外的IP地址为200.0.0.8，即从公网IP地址的PC2上ping 200.0.0.8可以ping通server0）。这要用到两条NAT使内网机子可以访问外网access-list 101 deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255access-list 101 permit ip 192.168.0.0 0.0.

31、255.255 anyip nat inside source list 101 interface FastEthernet0/1 overload使网络可以访问Server0ip nat inside source static 192.168.77.1 200.0.0.82）实现北京总部各部门间的网络的广播流量相互隔离，网络互通，但同时要求各技术部、销售部的计算机不能主动访问财务部的服务器与计算机。这要利用VLAN来进行广播流量的分隔，并通过三层交换机来实现VALN间的互连用vlan命令建立vlan用int range switchport access vlan 把接口加入vlan再i

32、nt vlanip addr给vlan分配IP地址。3）上配置路由协议，使用网络可以互通。在路由器用OSPFrouter ospf 1network 0.0.0.0 255.255.255.255 area 04）上海分部内部也使用私有IP地址，通过NAT访问Internet。但北京总部与上海分部之间，要求建立站点间的VPN。即通过私有IP地址可以互相访问。（1）Router0上的VPN配置access-list 111 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255crypto isakmp policy 10 encr 3des hash md5 authentica